VRRP安全隐患是如何产生的? VRRP多台路由器连接方式是交换机,VRRP报文方式是组播方式224.0.0.18组里所有成员都可以接收消息,交换机无法隔离组播消息,这个消息被恶意路由甚至pc机伪装的路由看到后可以看到VRRP消息,并且通过这个信息伪装一个最大优先级,最大ip的主路由信息,通过抢占功能瞬间夺取主路由权限,造成无法连接外网,网络故障。 VRRP安全隐患的解决方案是什么? 设置密码,也就是VRRP安全认证 VRRP安全认证的类型有哪些? 明文认证——simple (抓取数据包看到vrrp数据里面的密码,cipher密文方式也可以数据中清晰看到) 密文认证——md5 (在vrrp和INT中间产生一个条目)
# VRRP链路跟踪 使用场景 我们主路由器可能网关接口故障-1,这个时候备用网关启动。 故障-2如果是主路由器连接外网的接口故障,网关没有问题就无法检测到这个故障vrrp无法正常的切换,我们的pc无法访问网络,这个时候我们主路由器是知道我们的这个接口出现问题的,所有要在主路由上设定VRRP链路跟踪 命令:int g0/0/0 vrrp vrid track int g0/0/1 reduced 110 //接口断开后 优先级降低110 interface GigabitEthernet0/0/0 ip address 192.168.1.251 255.255.255.0 vrrp vrid 1 virtual-ip 192.168.1.254 vrrp vrid 1 priority 200 vrrp vrid 1 track interface GigabitEthernet0/0/1 reduced 110 配置思路: 1.终端电脑 PC1 PC2的ip地址和网关 2.网络设备 交换机(建vlan,定义接口,加入vlan)
什么是VRRP协议:将多台路由器虚拟成一个虚拟路由器,配置一个虚拟网关IP地址,把虚拟网关IP地址配置在主机上实现网关备份。 应对场景 路由器坏了,网络无法通讯,为了增加设备连通稳定性,通过部署多个网关方式实现网关备份。 1.网关之间IP地址冲突 2.可以切换网关地址,但是需要频繁切换网关IP VRRP 虚拟路由器冗余协议 由IETF标准RFC 2338定义 是公有标准协议 VRRP协议位于 OSI模型第三层 协议号为112 (扩展TCP协议号:6 ICMP:1 UTP:17) VRRP发送的报文是组播,地址为224.0.0.18 (扩展:报文分单播 组播 广播,区别是目标IP地址,单个目标IP就是单播,所有人地址就是广播(特殊的组播),一部分人地址就是组播) 网关就是路由器上的一个接口,接口IP地址,所有VRRP协议是在接口上进行配置的协议。 VRRP角色成员 主网关路由器(master) 备份网关路由(backup) 虚拟路由器 (vritual) VRRP主/备网关选举原则 首先是优先级,优先级越大越好 其次比较IP地址,越大越好
什么是浮动路由? 浮动路由又称路由备份,两条或者多条链路组成浮动路由。相同的目的地址,不同的下一跳地址,另一条下一跳的优先级低(优先级数值高则优先级低) 浮动路由实现链路备份,增加了设备之间连接的可靠性,只有在设备之间有冗余链路的时候才能设置 浮动路由(2条以上线路连接,不是唯一的线路是冗余线路) 浮动路由配置思路: 1.配置终端设备 -pc机ip地址 -pc网关地址 2.配置网络设备 -交换机 -创建vlan,定义模式,加入vlan -路由器 -设置接口ip -设置静态路由 -备用路由条目下一跳优先级设置为100 (优先级数值越高优先级越低 ) 3.验证与检测 设置ip后检测联通性 ping-路由器接口间 ping-pc和路由
Copyright © 2005-2024 51CTO.COM 版权所有 京ICP证060544号
